Tailscale में Mullvad VPN को Exit Node के रूप में इस्तेमाल करना
(tailscale.com)- Tailscale ने Mullvad के साथ साझेदारी की है ताकि Mullvad के ग्लोबल VPN सर्वरों को Tailscale exit node के रूप में इस्तेमाल किया जा सके, जिससे tailnet उपयोगकर्ता अलग इंफ्रास्ट्रक्चर के बिना वेब को अधिक निजी तरीके से ब्राउज़ कर सकें
- Mullvad एक ऐसा VPN है जो activity logs या monitoring नहीं करता और subscription के लिए unique account number का उपयोग करता है, ताकि व्यक्तिगत डेटा सीधे अकाउंट से न जुड़ सके
- Tailscale केवल डिवाइस और Mullvad network edge के बीच coordination layer की भूमिका निभाता है, जबकि वास्तविक इंटरनेट ट्रैफिक चुने गए Mullvad node के जरिए सीधे बहता है
- यह संयोजन public Wi‑Fi protection या region-based access जैसे उपयोगों में काम आता है, लेकिन सच्ची anonymity की गारंटी देने वाला मॉडल नहीं है
- यह फीचर public beta में उपलब्ध है, और मौजूदा Tailscale plans तथा Free plan में paid add-on के रूप में जोड़ा जा सकता है; कीमत हर 5 डिवाइस पर $5 प्रति माह है
Tailscale और Mullvad की भूमिकाएँ
- दोनों को VPN कहा जा सकता है, लेकिन वे अलग समस्याएँ हल करते हैं
- Tailscale एक personal private internet यानी tailnet बनाता है, जिससे उपयोगकर्ता लगभग कहीं से भी अपनी ज़रूरत की services और लोगों से सुरक्षित रूप से जुड़ सकें
- Mullvad जैसे privacy VPN विज्ञापनदाताओं, ISP, public Wi‑Fi पर मौजूद खतरे वाले actors, marketing sites आदि से डिवाइस की पहचान संबंधी जानकारी छिपाते हैं और अधिक निजी इंटरनेट access देते हैं
- पहले, Tailscale इस्तेमाल करते हुए privacy VPN जैसे फायदे पाने के लिए उपयोगकर्ता को अपना इंफ्रास्ट्रक्चर खुद सेटअप करना पड़ता था
Mullvad को Tailscale exit node की तरह इस्तेमाल करने का तरीका
- Mullvad दुनिया भर के 40 से अधिक देशों में मौजूद सैकड़ों सर्वरों तक पहुँच देता है
- Mullvad सर्वर से कनेक्ट करते समय डिवाइस एक WireGuard key pair बनाता है
- public key का उपयोग Mullvad इंफ्रास्ट्रक्चर में peer की पहचान के लिए होता है
- private key ट्रैफिक को encrypt करने में इस्तेमाल होती है
- Tailscale में Mullvad exit node इस्तेमाल करते समय भी संरचना मिलती-जुलती है
- node, Tailscale द्वारा पहले से बनाई गई WireGuard key pair को Mullvad इंफ्रास्ट्रक्चर में रजिस्टर करता है
- इंटरनेट से आने वाला ट्रैफिक Mullvad network edge पर terminate होता है
- ट्रैफिक डिवाइस तक end-to-end encrypted रहता है
- नतीजतन, यह Mullvad के server fleet को tailnet के भीतर लाकर इस्तेमाल करने जैसा है
Tailscale coordination layer की तरह काम करता है
- Tailscale उपयोगकर्ता के डिवाइस और Mullvad network edge के बीच coordination layer की भूमिका निभाता है
- control layer लगातार उपलब्ध Mullvad network map को अपडेट करता है और डिवाइस को बताता है कि किस region या city में किस server से जुड़ना है
- चुने गए region या city के Mullvad node की कनेक्शन जानकारी मिलने के बाद, डिवाइस उसी node के जरिए सीधे इंटरनेट पर ट्रैफिक भेजता है
- tailnet के बाकी ट्रैफिक की तरह डेटा end-to-end encrypted रहता है, और Tailscale के पास private keys नहीं होतीं, इसलिए वह ट्रैफिक की सामग्री नहीं देख सकता
सेटअप और बिलिंग
- Mullvad exit node को सक्रिय करने के लिए tailnet admin को admin console के general settings पेज पर Configure चुनना होगा
- admin tailnet में उन डिवाइसों को चुनता है जिन्हें Mullvad के साथ इस्तेमाल करना है, और फिर payment flow के जरिए license खरीदता है
- कीमत हर 5 डिवाइस पर $5 प्रति माह है
- जिन डिवाइसों को Mullvad VPN access दिया गया है, वे Mullvad exit node चुन सकते हैं
- हर डिवाइस पर exit node को अलग-अलग चालू या बंद किया जा सकता है
- विस्तृत उपयोग विधि Tailscale docs में देखी जा सकती है
प्राइवेसी और anonymity की सीमाएँ
- हर Tailscale कनेक्शन एक WireGuard tunnel है, जो end-to-end encrypted और authenticated होता है
- authentication यह मजबूत भरोसा देता है कि ट्रैफिक उन्हीं endpoints के बीच बह रहा है जिनका दावा किया गया है
- Mullvad को उपयोगकर्ता की व्यक्तिगत जानकारी नहीं भेजी जाती
- Tailscale जुड़े हुए identity provider के जरिए उपयोगकर्ता को जानता है, लेकिन Mullvad सर्वर से कनेक्शन के लिए इस जानकारी की ज़रूरत नहीं होती
- लोकल Tailscale client को यह बताया जाता है कि public WireGuard key कहाँ भेजनी है, और उसके बाद इंटरनेट ट्रैफिक Mullvad VPN इंफ्रास्ट्रक्चर के जरिए बहता है
- यह संरचना डिवाइस, नेटवर्क और कनेक्शन की निजी जानकारी को बाहरी पर्यवेक्षकों से छिपाने में मदद करती है
सच्ची anonymity एक अलग समस्या है
- Tailscale का मानना है कि यह संयोजन कई use cases के लिए उपयुक्त है, लेकिन यह सच्ची anonymity प्रदान नहीं करता
- Tailscale जिस समस्या को हल करना चाहता है, वह true anonymity नहीं है; यह उन उपयोगकर्ताओं के threat model के लिए उपयुक्त है जो conditional anonymity स्वीकार करते हैं
- ऐसे वैध use cases भी हैं जहाँ privacy और true anonymity दोनों की ज़रूरत होती है
- व्यावसायिक रूप से ऐसी गारंटी देना जोखिम भरा हो सकता है
- Mullvad और IVPN ने port forwarding support हटाने के संदर्भ में misuse की संभावना का उल्लेख किया है
- दुर्भावनापूर्ण उपयोगकर्ता सेवा को abuse vector में बदल सकते हैं
- ऐसा misuse, अपनी सुरक्षा के लिए सेवा पर निर्भर लोगों सहित, पूरे user experience को खराब कर सकता है
- जिन उपयोगकर्ताओं का threat model अधिक कठिन है, उन्हें EFF Surveillance Self-Defense guide जैसे संसाधनों की मदद से सही tools का आकलन करना चाहिए
public beta और plan support
- Mullvad exit node अभी public beta में तुरंत इस्तेमाल किया जा सकता है
- इसे परिवार या टीम के स्तर तक बढ़ाया जा सकता है, और access वाले हर 5 डिवाइस पर $5 प्रति माह की recurring auto-billing लागू होती है
- Mullvad फिलहाल Tailscale के सभी plans में paid add-on के रूप में उपलब्ध है
- यह add-on Free plan में भी इस्तेमाल किया जा सकता है
- शुरू करने के लिए admin console के general settings टैब में Configure चुनें
1 टिप्पणियां
Hacker News की राय
VPN का मूल अर्थ Mullvad जैसे commercial consumer VPN से काफ़ी अलग था, और Tailscale द्वारा दिए जाने वाले encrypted overlay network के ज़्यादा करीब था
अब ऐसा लगता है कि पुनराविष्कार का चक्र पूरा घूमकर दोनों फिर से मिल रहे हैं, और यहाँ “पुनराविष्कार” को मैं नकारात्मक अर्थ में नहीं कह रहा। मुझे यह अच्छी दिशा लगती है
John Gilmore[1] जैसे लोगों ने IETF standard IPSec पर आधारित universal और interoperable VPN तकनीक के ज़रिए internet traffic को end-to-end सुरक्षित किया जा सकता है, ऐसा जो ऐतिहासिक संदर्भ देखा था, वह 90 के दशक के FreeS/WAN के उद्देश्य दस्तावेज़ में भी दिखता है: http://web.archive.org/web/20210125023625/https://www.freesw...
उसके बाद VPN का एक अंधकारमय दौर आया, और यह मुख्य रूप से पुराने ढंग के corporate “internal network” से जुड़ने की तकनीक भर बनकर रह गया
[1] https://en.wikipedia.org/wiki/John_Gilmore_(activist)
बचपन में मैंने एक चलाकर देखा था, और वह security nightmare के काफ़ी करीब था; web proxy operator को वहाँ से गुजरने वाले सभी users के credentials झांकने से रोकने का कोई तरीका नहीं था। PHPRoxy को ऐसा बदलना भी बेहद आसान है
निजी तौर पर, 2000 के दशक की शुरुआत में teenage में मैंने domain parking service चलाते हुए domains को web proxy की तरह इस्तेमाल किया, content के अंदर AdSense blocks ढूंढकर उन्हें अपने AdSense code से बदल देता था और domain owner code के साथ 50/50 बांटता था। Google ने आखिरकार पकड़ लिया और ban कर दिया, लेकिन जब तक चला, काफ़ी अच्छा था; मैंने नए ad blocks जोड़े नहीं थे बल्कि मौजूदा blocks reuse किए थे, इसलिए मुझे यह काफ़ी fair लगा
बाद में consumer VPN आए तो यह single computer को network से जोड़ने वाला point-to-multipoint ढांचा बन गया, लेकिन यह confusion कैसे पैदा हुआ, मुझे ठीक से नहीं पता। उस दौर में यह असल में SSH tunnel को package करने जैसा ही था
तकनीकी तौर पर Mullvad का VPN भी site-to-site VPN है, बस remote site internet है
घर के LAN के पूरे segment को internet से जोड़ने के लिए मैंने अक्सर इसी तरह के VPN इस्तेमाल किए हैं
सबसे बड़ा फर्क client-side configuration के तरीके में है, क्योंकि दूसरी तरफ लगभग हमेशा host नहीं बल्कि network होता है
generic term के रूप में VPN का मतलब आज भी ठीक वही है जो 20 साल पहले था
“Virtual” का मतलब है कि यह किसी physical network interface से मेल नहीं खाता, और “Private” का मतलब है कि ipip या 6in4 जैसे simple tunnel के विपरीत इसमें encryption शामिल है। और यह बात भी हमेशा वही रही कि यह node पर दिखने वाला network interface है; वह node vendor का proprietary black box था या नहीं, यह अलग बात है
दशकों पहले use cases और prominence कम थे, dedicated “routers” ज़्यादा अहम थे, और लोग infrastructure पर भोलेपन से भरोसा करते थे। समय के साथ जो बदला, वह यही सब है। थोड़ी search करने पर दिखता है कि OpenVPN 2001 में और tinc 1998 में आया था
मुझे Tailscale की technology और security ecosystem में उसका योगदान पसंद है, लेकिन यहाँ कई प्रतिक्रियाओं के उलट मैं इसे देखता हूँ
यह मुझे खराब idea लगता है, और शायद यह enterprise market में हार का संकेत भी हो सकता है, जहाँ technology सबसे ज्यादा value दे सकती है। Tailscale ने पिछले साल 100 million dollars की funding उठाई थी, और निश्चित रूप से वह upmarket growth की hypothesis पर आधारित रही होगी
यह partnership individual consumers के लिए valuable हो सकती है, लेकिन बड़े opportunity से भटकाने वाली distraction के करीब है, और worst case में उस opportunity को हासिल करने में उल्टा असर भी डाल सकती है
यह counterargument भी मुझे ज्यादा convincing नहीं लगता कि individual consumer satisfaction B2B success की flywheel बनती है
अगर हम कुछ ऐसा बना सकते हैं जिसे हम खुद चाहें और हमारे दोस्त व fellow geeks भी पसंद करें, और वह enterprise sales में भी बदलता हो, तो उसे न करने की कोई वजह नहीं
यह उन geek customers से recurring revenue पाने वाला काफी बढ़िया feature है जो अब तक free में इस्तेमाल कर रहे थे
Tailscale या Tor जैसे समान दिशा वाले organizations के साथ collaboration करना, दूसरे VPN competitors की तरह संदिग्ध business models में हाथ डाले बिना user base बढ़ाने का अच्छा तरीका लगता है
product इतना magical था कि सभी को शक हुआ। मैं इसे घर पर इस्तेमाल कर रहा था और किसी तरह convince करने की कोशिश कर रहा था
यह product के “mesh” आधार को तोड़ने के लिए long-term investment जैसा ज्यादा लगता है। वही इसका magical हिस्सा भी है और समस्या भी। बाहरी व्यक्ति के तौर पर मैं mesh के security model को समझा नहीं सका, और कुछ comments के मुताबिक यह mobile devices में battery issues भी पैदा करता दिखता है
अगर आप दो अलग tunnels बनाकर उनके ज़रिए internet browse करते हैं, तो static HTML pages के अलावा streaming या लगभग कोई भी उपयोग painful होगा
Mullvad हाल में बहुत कुछ कर रहा है और मुझे सचमुच पसंद है
ऐसा लगता है कि समान दिशा अपनाने वाली कंपनियों के साथ partnerships के जरिए वह decentralized open-source ecosystem बना रहा है। यह security पसंद करने वाले पक्ष के “hackers” के सपने जैसा है
अगला Matrix या Signal होगा, यह जानने की उत्सुकता है। Signal की संभावना बहुत कम होगी, लेकिन “ऐसा ecosystem जहाँ expressions का real meaning हो” की ओर बढ़ने की बात सच हो जाए, यह सपना तो देखा जा सकता है
मैं open source और public protocols पर आधारित products को harmony में काम करते देखना चाहता हूँ। सच कहूँ तो मुझे लगा था कि post-scarcity society के काफी करीब पहुँचने से पहले हम ऐसा रूप नहीं देख पाएंगे
tailscaled root के रूप में चलता है। सोच रहा हूँ कि क्या इसे बिना functionality खोए isolate करने का कोई तरीका है।
यह मेरे network के कई devices को जोड़ता है, इसलिए Tailscale vulnerability का असर बड़ा हो सकता है। हाल में भी लगभग 10 CVE थे। Standard client-server तरीके में client को userspace WireGuard के रूप में चलाया जा सकता है, इसलिए ऐसी समस्या कम होती है।
Tailscale से ports सीधे नहीं खोलता, लेकिन ज्यादा सही कहें तो यह Tailscale को outsource करने जैसा है, इसलिए फिर भी रात को चैन की नींद नहीं आती।
Tailscale को बिना privileges के चलाना मुश्किल है। क्योंकि tailscaled को network configure कर पाना चाहिए, और अगर Tailscale SSH चालू करें तो configured user sessions भी बना पाना चाहिए।
जिन्हें SSH की जरूरत नहीं है और जो इस चुनौती व maintenance burden को स्वीकार कर सकते हैं, उनके लिए यह संभव है: https://tailscale.com/kb/1279/security-node-hardening/
इसका आधार यह है कि मैं Arch पर इसे ऐसे ही इस्तेमाल कर रहा हूँ।
ऊपर से देखने में यह सच में शानदार है, और Tailscale व Mullvad दोनों इस्तेमाल करने वाले के तौर पर बेहतरीन लगता है।
हालांकि मुख्य चिंता privacy leak की संभावना है। क्या अब कोई government agency Tailscale पर दबाव डालकर Mullvad ID या connection को Tailscale account से जोड़कर track नहीं कर पाएगी?
सार यह है कि हमेशा की तरह यह threat model पर निर्भर करता है।
Tailscale ने हाल में Cuban nationals की service access block कर दी, जिससे मेरे लिए बहुत उपयोगी हो सकने वाला मौका छूट गया। उनके अपने कारण होंगे, लेकिन फिर भी धीरे-धीरे बन रही service अपने-आप में ठीक लगती है।
पहले जब मैं एक US charitable nonprofit को lead करने से जुड़ा था, Obama era में Cuba की एक tech conference में किसी की attendance cost support करने की कोशिश की थी। शायद वह किसी Cuban के किसी दूसरी जगह की tech conference में जाने का खर्च भी हो सकता है।
आखिरकार यह हो गया, लेकिन lawyers से consult करना पड़ा, situation की details को applicable rules से मिलाना पड़ा, और संबंधित लोगों को यह वादा करना पड़ा कि वे उन rules के भीतर रहेंगे।
मेरा अनुमान है कि Tailscale या उसके dependent providers में से कोई एक Cuba-specific US legal obligations comply करने के लिए, या कम-से-कम violation risk घटाने के लिए, Cubans को block कर रहा है।
कम-से-कम GitHub ने sanctions के बावजूद, खास तौर पर प्रतिबंधित individuals/entities को छोड़कर, Cubans या Cuba के users को अपनी ज्यादातर offerings कानूनी रूप से उपलब्ध कराने का तरीका निकाल लिया है। अगर Tailscale client और Headscale server का open-source code मिल सके, तो Tailscale software के फायदे कुछ हद तक लिए जा सकते हैं।
Google भी कुछ हद तक पालन करता है: https://support.google.com/google-ads/answer/6163740?hl=en
setup काफी ज्यादा चाहिए, लेकिन यह एक विकल्प है। मैं कुछ समय से headscale self-host कर रहा हूँ और यह काफी stable है।
अगर कोई पहले से Mullvad customer है, तो सोच रहा हूँ कि क्या इसे existing account में integrate करने का कोई तरीका है।
अभी जब मुझे tailnet के जरिए Mullvad इस्तेमाल करना होता है, तो मैं घर के Linux box को exit node के रूप में set करता हूँ और वह box सारा traffic automatically Mullvad के जरिए भेजता है। घर के उस Linux box पर मैं पहले से Mullvad के लिए pay कर रहा हूँ, इसलिए मेरे लिए कोई extra cost नहीं है।
सौभाग्य से, अगर आपने Mullvad में बहुत ज्यादा prepaid months जमा नहीं कर रखे हैं, तो यह बिल्कुल problem नहीं है।
हाल के वर्षों में VPN के इस्तेमाल में इतना विस्फोटक इज़ाफ़ा क्यों दिखता है, यह समझने में मदद करना चाहता हूँ
कंपनी डिवाइस जैसे पारंपरिक use case तो पता हैं, लेकिन वे तो दशकों से मौजूद हैं, इसलिए मुख्य वजह जैसे नहीं लगते। पिछले 3+ सालों में बड़े पैमाने पर हुई growth के पीछे क्या पृष्ठभूमि रही होगी?
इसलिए आम लोगों के लिए “VPN” का मतलब अब “मेरे control वाले network तक कहीं से भी access दिलाने वाली चीज़” नहीं, बल्कि “traffic को किसी खास भौगोलिक location से route कराने वाली चीज़” जैसा हो गया है
“connection को सुरक्षित बनाता है”, “tracking रोकता है” जैसे आधे-अधूरे सच बिना अतिरिक्त explanation के कहे जाते हैं, जबकि असल में device और browser fingerprints users को identify करने में भौगोलिक location से ज़्यादा असरदार होते हैं। HTTPS हो तो traffic पहले से encrypted होता है, और DNS-over-HTTPS या TLS providers भी यह छिपा देते हैं कि आप कहाँ जाना चाह रहे थे, इसलिए बताये जाने वाले कई फायदे लगभग snake oil जैसे हैं
हालांकि अगर आप region-locked content देखना चाहते हैं, या identity anonymize करने के लिए ambiguity की कई layers जोड़ने की strategy इस्तेमाल कर रहे हैं, तो खुलकर इस्तेमाल करें। मुझे लगता है कि mass adoption में विस्फोट की वजह healthy paranoia और influencer marketing का मिश्रण है
ग्राहक वर्ग मुझे ऐसे दिखते हैं: online privacy में रुचि रखने वाले लोग, censorship bypass करने में रुचि रखने वाले लोग, local ISP की eavesdropping से अपनी machine और “internet” के बीच secure network channel चाहने वाले लोग, और geographic restrictions bypass करना चाहने वाले लोग
internet की प्रकृति और उसके सबसे अहम protocol IP के काम करने के तरीके की वजह से, IP address बदलना online privacy की protection के लिए ज़रूरी, लेकिन हमेशा पर्याप्त नहीं, कदम है। यह बात VPN, Tor और मिलती-जुलती technologies की long-term relevance दिखाती है
disclosure: मैं Mullvad VPN का co-founder हूँ
Tailscale type के VPN मुख्यतः वे लोग इस्तेमाल करते हैं जो apps को self-host करते हुए उन्हें internet पर public किए बिना कई devices से access करना चाहते हैं, या Starbucks से अपने NAS तक access करना चाहते हैं
sshdको बिल्कुल छूने की ज़रूरत नहीं थी, और tailnet से जुड़ी machines को automatic HTTPS certificates मिल जाते हैं। ऊपर से यह free है[1] https://tailscale.com/tailscale-ssh/
[2] https://tailscale.com/kb/1081/magicdns/
privacy को अहम मानता हूँ, और इस गलत धारणा का विरोध करना चाहता हूँ कि privacy-enhancing tools सिर्फ संदिग्ध लोग संदिग्ध कामों के लिए इस्तेमाल करते हैं
VPN उसी वजह से इस्तेमाल करें जिस वजह से public toilet stall का दरवाज़ा बंद करते हैं
मैं इस premise से ज़रूरी नहीं सहमत हूँ कि हाल में VPN usage वास्तव में बढ़ा है। यह सच है या नहीं, मुझे नहीं पता
दिलचस्प बात है कि पहले Mullvad और Tailscale को साथ-साथ चलाने के लिए मैंने connection के समय run होने वाली script लिखी थी। अगर किसी को interest हो तो NVPN के लिए भी है
DOMAINS=(login controlplane log derp1-all derp2-all derp3-all derp4-all derp5-all derp6-all derp7-all derp8-all derp9-all derp10-all derp11-all derp12-all derp13-all derp14-all derp15-all derp16-all derp17-all derp18-all derp19-all derp20-all derp21-all derp22-all derp23-all derp24-all)
FWMARK=$(wg show $1 fwmark)
for d in ${DOMAINS[@]}; do
IPS=$(dig +answer -4 $d.tailscale.com +short)
for IP in ${IPS[@]}; do
iptables -I INPUT --in-interface tailscale0 -j MARK --set-mark $FWMARK
iptables -I OUTPUT --out-interface tailscale0 -j MARK --set-mark $FWMARK
iptables -I INPUT -d $IP/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -s $IP/32 -j MARK --set-mark $FWMARK
iptables -I OUTPUT -d $IP/32 -j MARK --set-mark $FWMARK
done;
done;
iptables -I OUTPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I OUTPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
DOMAINS=(login controlplane log derp{1..24}-all)
wg show $1में $1 क्या है, और यह script कब और कैसे run करते हैं, यह जानना चाहता हूँ